迴避詭譎資安風險1、2、3

2007年是資安事件逐漸浮上檯面的一年，許多組織單位成為新聞版面標題。因此以實務面探討如何推動資安工作以及掌握最新趨勢的2008資安趨勢論壇，吸引資安工作者熱烈參與。
由《資安人》雜誌主辦的「2008資安趨勢論壇」12月4日於台北國際會議中心熱烈舉行，本次活動涵蓋管理、技術與趨勢面，因此吸引包括IT人員、資安工作者以及稽核管理人員的共襄盛舉。《資安人》雜誌總編輯侍家驊在活動開場時指出，面對詭譎多變的資安環境與威脅、日益嚴重的資料外洩等資安議題，IT人員肩負的壓力越來越沉重，然而承擔資料保管的責任可不只是IT人員，而應該是資料擁有者。此外，資安工作推動的順利與否，關鍵往往在於企業決策者能否重視，因此如何站在經營者的角度詮釋資訊風險與高階主管溝通，也是今後資安人員的關注課題。
四大威脅趨勢：Web 2.0、內容層級的弱點、VoIP、虛擬化
本次活動的Keynote演說由IBM ISS X-Force全球研發中心總監Peter Allor拉開序幕，曾擔任美國資訊分享分析中心IT組（IT-ISAC）主席的Allor，以「全球資安威脅趨勢以及防禦策略」為題，談到做好資安工作應從與他人資訊分享做起，尤其每個人眼中的資料意義都不同，因此IT人員必須以商業語言解決企業決策者心中的疑問。接著，Allor進入主題談到X-Force研究團隊所分析的最新威脅，他指出Web 2.0、內容層級的弱點、VoIP、虛擬化等四大安全議題，資安工作者應特別注意。
Web安全最令人憂心，因為過去的攻擊方式今日仍然奏效，而新的攻擊種類又不斷衍生出來。包括跨站指令碼攻擊（XSS）持續被利用，透過部落格、電子郵件等方式作為攻擊媒介。例如有針對Yahoo Mail的Yamanner以及針對社交網站MySpace的Samy、Spaceflash等Web 2.0蠕蟲。而現今的Web 2.0攻擊手法，則包括利用AJAX、XML poisoning、RSS / Atom injection等，而且這些Web 2.0攻擊會讓使用者根本無從察覺起，因此Allor認為明日的網頁會是現今的安全問題。
第二、混合各種弱點的攻擊也令人難以招架。包括PDF檔、DOC檔弱點加上瀏覽器弱點，透過附件方式夾帶在電子郵件中，配合社交工程手法鎖定目標被害人發動攻擊，遠端入侵作業系統後提高權限以竊取被害人電腦中的資料。Allor也提到一種新的網頁應用程式弱點掃瞄器－Jitko，它可被攻擊者用來入侵作業系統。Allor強調，包括MS-Office、Adobe等在內，各種應用程式的弱點都將成為攻擊媒介，資安人員需評估該弱點影響企業運作的程度來排定更新修補程式的優先順序。畢竟，沒有絕對安全的應用程式。
VoIP為企業節省不少通訊支出，成為大幅成長的新興應用，但VoIP存在不少安全漏洞卻被大家忽略。包括存在SIP、H.323等通訊協定上的弱點等，而開源碼的VoIP平台也未必比較安全。因此有意導入VoIP的企業一定要同時關注安全議題。此外，降低成本也是許多企業改採虛擬化技術的主要原因，而Allor提出呼籲，虛擬化不等於安全！過去在實體環境會遇到的安全問題，將來在虛擬機器環境中同樣會遇到，而虛擬機器軟體在將來隨著佈署比例的提高，其弱點的揭露必定隨之增加。如果不將安全考慮進去，虛擬化所造成的費用將遠大於其所能節省的。最後，Allor指出現今許多IT技術與應用不斷被提出，其相關的安全議題也都需要被重視，例如智慧型手機等，其相對應的攻擊方式、竊取資料的方式也不斷被產出。
緊接著，Juniper Networks台灣/香港區技術總監游源濱帶來「下一代網路，如何降低風險」，游源濱提到現今企業面臨的資安威脅包括企業營運端作業方式的改變以及威脅趨勢的演變，前者如行動工作者增加、更多應用系統的導入以及資安事件導致營運中斷所造成的損失遽增，而後者則包括目標式攻擊以及對應用層防護需求的增加等。因此游源濱強調，企業應佈署多層的安全防護架構以保護由內而外的企業網路，選擇能夠設定並執行企業網路政策的安全產品，並選擇能夠提供集中管理報表功能的產品來增強對網路流量的能見度。
談完網路安全後，賽門鐵克資深技術顧問莊添發則帶來「端點安全對企業的重要性」。莊添發指出，筆記型電腦已成為企業網路病蟲自動攻擊最常見的來源，包括員工及訪客所使用的筆電皆是，而使用者的疏失又成為企業機密資料遺失的主因。因此要抵禦企業現今所面臨的威脅，需要能強制執行用戶安全政策與防護端點設備的技術－網路存取控制(NAC, Network Access Control)。莊添發建議，選擇能夠分階段導入的NAC將較為實際，以減少對用戶端的中斷干擾。
關貿網路總經理陳振楠帶來「企業十大資安自掘墳墓篇」，他指出企業只要一開始使用網路，同時也就掉入了網路危機的威脅，就算僅僅是一個隨身碟的使用，都可能帶來龐大的蠕蟲或電腦病毒。無論是企業或政府部門，都要對外提供服務，如何保護好手上的客戶資料？就是格外重要的功課！陳振楠進一步表示，資訊安全可以從使用者、系統、網路、管理等面向，來分析並管理，其中使用者指的也就是端點的地方；系統則可分為三個段落，除了使用者，還有主機和應用；而網路的牽涉就更多了。他強調資訊人員必須先對TCP/IP的特性很清楚，才能有效掌控資訊安全。
使用者行為已經變成資安上很大的困擾因素，隱藏的病毒與惡意程式很難被發現，尤其是P2P的傳輸行為，相當容易帶來非法的軟體和連結，雖然企業在資訊安全產品上，做了相當多投資，仍然無法確保百分之百的安全。陳振楠強調，「沒有絶對的安全、只有相對的安全」，即使近來許多政府單位推行所謂的實體隔離，但是多數筆記型電腦平均都會被內建20至25項，如無線網卡等潛在非需求程式（PUP, Potential Unwanted Program），駭客就很容易透過這些管道，做跳板式的入侵，同時現在駭客行為已不再單為了展現能力，而轉向商業利益動機了； 更麻煩的還有，所謂的「惡意網站（Mal-Site）」，許多網站上都提供有所謂的數據資料庫（Serial Number Database），當使用者下載這些真實資料時，也同時接收了駭客通關的管道，並讓駭客握有了攻擊的發動權。最後，陳振楠指出，ISO 27001就要求，企業在購入新電腦設備時，先檢視出不必要的程式，並加以刪除，避免日後夜長夢多的情況；像是半導體大廠台積電，就乾脆把清除潛在不必要軟體的動作，交由委外的方式處理。
個人資料急需加密保護
下午的場次則分別由警政署資訊處主任李相臣以及Novell產品技術經理李逸凡帶來精采演說。李相臣談到新技術帶來的新威脅以及對網路犯罪偵防的影響；李逸凡則深入剖析資安事件管理的最新技術。李相臣指出，伴隨Wi-Fi和WiMAX等無線網路系統發展，無線AP的連結很方便，但經由無線傳輸的資料卻也容易被攔截。絶大部份的網路犯罪也是透過無線網路，而無線網路的犯罪行為真的很難追踨，所以在科技高度被應用的時代，加密軟體和加密資料庫的佈署，是未來必須大力推動的。他同時表示，一直很想推動相關的法規法令，譬如說，銀行、政府等單位，在被授權或受委託可以搜集別人的資料時，資料庫一定要是加密的，因為，這些儲存體只夠連線，被透視、竊取的機率都非常高，唯有施行加密才能大幅降低損失，這個部份，應該要有法律來規範。
寛頻時代最容易生的犯罪，大多數就是所謂的跨國或跳板，包括英國軍情五處（MI5）、美國、韓國和其他國家都已經跳出來，表示被大陸駭客入侵，並呼籲民眾注意；事實上，國內才正遭遇可怕的網路恐怖攻擊，國內三、五年前就是被入侵最厲害的國家，到現在幾乎有一半都被佔領了，還被當作跳板去攻擊別人，被入侵的情況已經很糟，駭客只是還沒有大規模啓動攻擊而已！李相臣表示，跳板是當今很嚴重的網路犯罪行為，在網路上要陷害一個人非常容易，藉由別人的電腦做進行犯罪，身分的確認非常不易，被入侵的路徑也往往被特意銷毀，讓不注重資訊安全的使用者，變成被害人。
李相臣表示，目前個人電腦的防毒軟體，仍有一些BUG在，沒有辦法有效防止，而到目前為止，網路風險和網路犯罪，幾乎99％都和木馬程式有關，甚至可以說，偷竊來的資料都在歹徒手中，端看是不是被鎖定或輪到誰被騙而已，資料被竊取只是最基本的，駭客還可能搖控電腦、綁架使用者電腦，甚至進行勒贖。
他同時表示，絶大部份的網路使用者，都不了解有什麼風險，也不會保護自已，面對網路資訊安全，往往是不知不覺、無知的，甚至不願意面對，尤其是企業的使用，只要有聽過的大型企業，特別是搜集、儲存個人資料的網站，資料幾乎都流失過了；現在幾乎所有的網路犯罪，都和個人資料有關，要買一份資料或鎖定特定對象已經太容易了，單單一個電子郵件帳號，就能搜集到很多內容；再來，網路犯罪慢慢偏向抓取個人穩私，如金融卡、信用卡等，甚至布落格或影音等分享網站，匿名的身份也都很可能被駭客比對出來。李相臣最後指出，目前市場上的資安產品，其防護能力仍嚴重落後，很難對付高手駭客，更別說是中共有計畫培養的網軍入侵了，此外，政府部門的法律授權的資源仍然不足，因此，在沒有被有效教育成功前，建議限制辦公室人員的資訊設備使用，如最普遍的P2P軟體，及蔚為趨勢的VoIP軟體等。
緊接著，CPCNet台灣區總經理朱哲生談到企業資安管理新主張－早期預防；因謄安控游智鈞經理分享有效建置ISMS的軟體工具與創新思維；Cellopoint大中國區代理商旭昇資訊業務副總林奕蓁帶來電子郵件安全防禦與稽核管理的新思維；利盟國際輸出應用解決方案經理鄭智文以「別讓多功能複合機成為你的後門」為題，談建構輸出設備符合資安策略。最後Sammas System亞太區技術總監潘鍵維帶來精采的保護企業電子資產演說。一整天下來，參與活動的一位中小企業資訊主管林先生表示，聽到專家談各種新型資安威脅與趨勢時實在深感無力，所幸可以順道獲得解決方案廠商提供的資訊，不虛此行。